Nagy kockázat a cégeknek, ha a dolgozók AI-t használnak

Egyre komolyabb, ám gyakran még láthatatlan kockázatot jelent a vállalatok számára az úgynevezett „shadow AI”, vagyis az alkalmazottak mesterséges intelligencia használata cégen belül. A jelenség Magyarországon is rohamosan terjed.

A generatív AI-megoldások, mint a ChatGPT, a Gemini vagy a Claude, gyors és hatékony segítséget nyújtanak nemcsak a hétköznapokban, de a mindennapi munkában is, ezért sok munkavállaló önállóan kezdi el használni őket. Ez azonban komoly biztonsági és adatvédelmi problémákhoz vezethet, ha a cégek nem szabályozzák ezek alkalmazását.

„A shadow AI egyik legnagyobb veszélye, hogy a szervezetnek nincs rálátása arra, mikor és milyen eszközöket használnak a munkatársak, és milyen adatokat osztanak meg velük. Így akár üzletileg kritikus információk is kikerülhetnek a vállalat kontrollja alól”

 – figyelmeztet Béres Péter, az ESET termékeket forgalmazó Sicontact Kft. IT-vezetője.

Amikor a kényelem adatvédelmi kockázattá válik

A kockázat nem pusztán elméleti: 2023-ban a Samsung mérnökei – a munkafolyamatok gyorsítása és tesztelési célból – belső vállalati dokumentumokat és bizalmas forráskódot töltöttek fel a ChatGPT-be, ami adatszivárogtatáshoz vezetett. Az eset különösen érzékeny, mivel az adatok külső szerverekre kerültek, ahol gyakorlatilag nem volt mód azok visszaszerzésére, és a vállalatnak arra sem volt érdemi ráhatása, hogy a kényes tartalmak eltávolításra kerüljenek.

A történtek hatására a Samsung megtiltotta munkavállalóinak a ChatGPT használatát. Az Amazon is hasonló lépéseket tett, miután olyan AI-válaszokat észleltek, amelyek kísértetiesen emlékeztettek az Amazon saját, bizalmas adataira.

Az ügyek jól szemléltetik, milyen könnyen bekövetkezhet adatvesztés, ha a munkavállalók ellenőrizetlenül használják az AI-eszközöket.

Bár hasonló esetek ritkán kerülnek nyilvánosságra Magyarországon, a jelenség itthon is releváns. A hazai vállalatok jelentős része még nem rendelkezik átfogó AI-stratégiával és szabályozással, miközben a dolgozók már aktívan használják ezeket az alkalmazásokat a hétköznapokban.

Hiánypótló kutatás készült az AI, az IT-biztonság és a mentális egészség kapcsolatáról

Éppen ezért úttörő kutatást készített az ESET termékek hazai forgalmazója, a Sicontact Kft.: egy eddig vizsgálatlan, mégis égető témát térképeztek fel vállalati környezetben, amely elsőként kapcsolja össze a mesterséges intelligenciát, az IT-biztonságot és a mentális egészséget.

Korábban még senki sem vizsgálta e három kulcsfontosságú terület kölcsönhatását a munka világában, így a kutatás hiánypótló eredményekkel szolgál.

Az ingyenesen letölthető felmérés eredményeit összefoglaló „MI a baj? Mesterséges intelligencia, IT-biztonság és mentális egészség” című iparági riport is megerősíti, hogy a shadow AI jelenség gyorsan terjed. A vállalatok jelentős része nincs felkészülve a munkavállalók által önállóan bevezetett mesterséges intelligencia-eszközök kezelésére.

A kutatás szerint a válaszadók 75 százaléka szerint túl könnyelműen osztunk meg adatokat az AI-val, 63 százalékuk pedig úgy véli, hogy az emberek túlságosan megbíznak abban, amit az AI javasol.

Láthatatlan kockázatok a mindennapi működésben

A shadow AI több szinten is veszélyt jelenthet a szervezetek számára.

Az egyik legfontosabb kockázat az adatszivárogtatás. A chatbotokba beírt üzleti információk külső rendszerekbe kerülhetnek, ami különösen nagy üzleti kockázatot jelent. Emellett jogszabályi problémák is felmerülhetnek, hiszen az adatok akár az Európai Unión kívül is tárolódhatnak, ami GDPR-szempontból is aggályos lehet.

Komoly veszélyt jelenthetnek az AI által generált, de nem ellenőrzött tartalmak is. Ezek félrevezetők lehetnek, emberi kontroll nélkül pedig hibás üzleti döntések meghozatalához járulhatnak hozzá. Fejlesztési feladatoknál az AI hibás vagy biztonsági réseket tartalmazó kódot is létrehozhat, ami újabb kockázatot jelent a vállalatok számára.

A problémát tovább súlyosbítja, hogy terjednek a hamis AI-eszközök is, amelyek célja adat- vagy pénzlopás lehet. A helyzetet pedig tovább bonyolítja az autonóm AI-agentek megjelenése, amelyek képesek önállóan feladatokat végrehajtani, akár érzékeny rendszerekhez hozzáférve.

Nem tiltani kell, hanem kontrollálni

A shadow AI problémáját nem lehet pusztán tiltással kezelni. Az AI használata annyira elterjedt vállalati környezetben is, hogy már nem lehet megállítani. A kérdés inkább az, hogy a szervezetek szabályozott keretek között kezelik-e, vagy ellenőrizetlenül engedik tovább terjedni.

A munkáltatóknak kritikus szerepük van abban, hogy az AI használatát szabályozott keretek közé tereljék a cégen belül. Ehhez szükséges a dolgozók képzése, hogy tisztában legyenek az AI korlátaival és hibalehetőségeivel, valamint az is, hogy a fontos üzleti döntéseknél mindig legyen emberi ellenőrzés.

Emellett technikai megoldásokkal is érdemes korlátozni a kockázatos használatot, hogy az AI alkalmazása átláthatóbb és biztonságosabb legyen.

„A cél nem az, hogy megtiltsuk az AI használatát, hanem hogy biztonságos keretek közé tereljük. Ehhez világos irányelvekre, edukációra és megfelelő technológiai kontrollokra van szükség. Kulcsfontosságú a munkavállalók képzése, az engedélyezett eszközök kijelölése, valamint a hálózati forgalom és az adatkezelés folyamatos monitorozása”

 – emeli ki Béres Péter, a Sicontact Kft. IT-vezetője.

Az AI a jövő, de nem mindegy, hogyan használjuk

A mesterséges intelligencia a következő évek üzleti növekedésének egyik motorja lehet, ugyanakkor új típusú kockázatokat is hoz magával. Azok a vállalatok lesznek versenyelőnyben, amelyek képesek egyszerre támogatni az innovációt és biztosítani az adatok védelmét.

A shadow AI jelenség ezért nemcsak technológiai, hanem szervezeti és biztonsági kérdés is. A cégeknek fel kell ismerniük, hogy a munkavállalók már most használják az AI-eszközöket, a feladat pedig az, hogy ez ne láthatatlan kockázatként, hanem szabályozott és biztonságos munkafolyamatként jelenjen meg a vállalati működésben.

Forrás: ESET Sajtóközlemény, A Borítóképet pedig stílusosan AI-al készítettük :)